网络管理与安全技术（PPT52页)

网络管理与安全技术第7章防火墙防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用。•防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。•防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络，可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙可以是非常简单的过滤器，也可能是精心配置的网关。但都可用于监测并过滤所有内部网和外部网之间的信息交换。•防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理。7.1防火墙基本概念防火墙示意图UF3500/3100防火墙应用三端口NAT模式交换机路由器集线器防火墙UF3500/3100防火墙技术发展状况自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的发展。许多公司推出了功能不同的防火墙系统产品。第一代防火墙，又称为包过滤防火墙，其主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过或进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。7.1.1防火墙技术发展状况7.1.2防火墙的任务防火墙应能够确保满足以下四个目标：1.实现安全策略防火墙的主要目的是强制执行人们所设计的安全策略。比如，安全策略中只需对E-mail服务器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一策略。防火墙一般实施两个基本设计策略之一：n凡是没有明确表示允许的就要被禁止；n凡是没有明确表示禁止的就要被允许。2.创建检查点防火墙在内部网络和公网间建立一个检查点。通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。网络管理员可以在检查点上集中实现安全目的。7.1.2防火墙的任务7.1.2防火墙的任务九运会信息网络系统已经受并成功地抵御了87万多次网络攻击3.记录Internet活动防火墙可以进行日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。7.1.2防火墙的任务4.保护内部网络对于公网防火墙隐藏了内部系统的一些信息以增加其保密性。当远程节点探测内部网络时，其仅仅能看到防火墙。远程节点不会知道内部网络结构和资源。防火墙以提高认证功能和对网络加密来限制网络信息的暴露，并通过对所有输入的流量时行检查，以限制从外部发动的攻击。7.2防火墙技术目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击，其基本技术通常分为两类：l网络数据单元过滤l网络服务代理7.2.1数据包过滤•数据包过滤（PacketFiltering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（AccessControlTable）。•通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。7.2.1数据包过滤包过滤技术工作在OIS七层模型的网络层上并有两个功能，即允许和阻止；如果检查数据包所有的条件都符合规则，则允许进行路由；如果检查到数据包的条件不符合规则，则阻止通过并将其丢弃。包检查是对IP头和传输层的头进行过滤，一般要检查下面几项：7.2.1数据包过滤l源IP地址l目的IP地址lTCP/UDP源端口lTCP/UDP目的端口l协议类型（TCP包、UDP包、ICMP包）lTCP报头中的ACK位lICMP消息类型7.2.1数据包过滤例如：若想禁止从Internet的远程登录到内部网设备中，则需要建立一条包过滤规则。因为Telnet服务是使用TCP协议的23端口，则禁止Telnet的包过滤规则为：规则号功能源IP地址目标IP地址源端口目标端口协议1Discard**23*TCP2Discard***23TCP上表列出的信息是路由器丢弃所有从TCP23端口出去和进来的数据包。其它所有的数据包都允许通过。例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有的数据包只允许特殊的数据包通过。规则号功能源IP地址目标IP地址源端口目标端口协议1Allow192.168.1.0***TCP2Allow*192.168.1.020*TCP•第一条是允许地址为192.168.1.0的网段内而其源端口和目的端口为任意的主机进行TCP的会话。•第二条是允许端口为20的任何远程IP地址都可以连接到192.168.10.0的任意端口上。•第二条规则不能限制目标端口是因为主动的FTP客户端是不使用20端口的。当一个主动的FTP客户端发起一个FTP会话时，客户端是使用动态分配的端口号。而远程的FTP服务器只检查192.168.1.0这个网络内端口为20的设备。有经验的黑客可以利用这些规则非法访问内部网络中的任何资源。所以要对FTP包过滤的规则加以相应修改7.2.1数据包过滤规则号功能源IP地址目标IP地址源端口目标端口协议1Allow192.168.1.0**21TCP2Block*192.168.1.0201024TCP3Allow*192.168.1.020*TCPACK=1第一条是允许网络地址为192.168.1.0内的任何主机与目标地址为任意且端口为21建立TCP的会话连接。•第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为192.168.1.0且端口小于1024的任意主机。•第三条规则是允许源端口为20的任意远程主机可以访问192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则，它会被立刻丢弃掉，第三条规则不会执行。但第三条规则仍然需要是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允许规则。7.2.1数据包过滤包过滤防火墙的优点速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，因内部网络与Internet连接必须通过路由器，所以在原有网络上增加这类防火墙，几乎不需要任何额外的费用。包过滤防火墙的缺点不能对数据内容进行控制，缺乏用户级的授权；非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取。7.2.2应用级网关应用层网关技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在专用工作站系统上7.2.2应用级网关应用级网关能够理解应用层上的协议，进行复杂一些的访问控制。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。常用的应用级防火墙有相应的代理服务器，应用级网关有较好的访问控制，但实现困难，而且有的应用级网关缺乏“透明度”7.2.2应用级网关应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大增加了非法访问和攻击的机会。7.2.3代理服务应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接是由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。另外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。7.2.3代理服务应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。7.2.3代理服务代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。根据其处理协议的不同，可分为FTP网关型、网关型、Telnet网关型等防火墙，其优点在于既能进行安全控制，又可加速访问，但实现起来比较困难，对于每一种服务协议必须设计一个代理软件模式，以进行安全控制。7.2.3代理服务应用层代理主要的优点：支持用户认证并提供详细的注册信息；过滤规则相对于包过滤路由器更容易配置和测试；可提供详细的日志和安全审计功能；可以隐藏内部网的IP地址以保护内部主机不受外部主机的进攻；内部网中的所有主机通过代理可以访问Internet。应用层代理也有明显的缺点：应用层实现的防火墙会造成执行速度慢，其性能明显下降；每个应用程序都必须有一个代理服务程序来进行安全控制，并随应用升级面升级。其适应性和连接性都是有限的。7.2.4状态检测状态检测是对包过滤功能的扩展。传统的包过滤在用动态端口的协议时，事先无法知道哪些端口需要打开，就会将所有可能用到的端口打开，而这会给安全带来不必要的隐患。状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。7.2.4状态检测状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不要求每个被访问的应用都有代理。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用服务。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。状态检测是检查OSI七层模型的所有层，以决定是否过滤，而不仅仅是对网络层检测。7.3防火墙体系结构及其应用防火墙体系结构通常分为四类：l屏蔽路由器（ScreeningRouter）l屏蔽主机网关(ScreenedHostGateway)l双穴主机网关(Dual-HomedGateway)l屏蔽子网(ScreenedSubnet)7.3.1屏蔽路由器屏蔽路由器就是实施过滤的路由器包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。通常过滤规则定义为：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的，即没有特别允许的数据包都拒绝。7.3.1屏蔽路由器INTERNET包过滤路由器内部网络屏蔽路由器7.3.1屏蔽路由器优点是价格低且易于使用，缺点1.需要掌握TCP/IP知识才能创建相应的过滤规则，若有配置错误将会导致不期望的流量通过或拒绝一些应接受的流量。2.包过滤路由器不隐藏内部网络的配置，任何允许访问屏蔽路由器的用户都可看到网络的布局和结构。3.其监视和日志功能较弱，通常也没有警报的功能。这就意味着网络管理员要不断地检查